Usunięcie antywirów i inne syfy


(Jotczwarty) #1

Objawy: zawieszanie się i bardzo powolne reakcje komputera, usunięcie wszystkich programów antywirusowych oraz generalnie znikanie plików, minimalizowanie się gier, niemożność włączenia trybu awaryjnego ani przywrócenia systemu

Z góry dziękuję za pomoc.


(jessica) #2

Te w/w wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

>>Start >>> Uruchom >>> wybierz (lub wpisz) cmd >> zastosować te komendy (po każdej wciśnij "ENTER"):

Potem daj log z ComboFix (na dole tej strony z linku) -

Log wklej na http://wklej.org/, a w poście daj tylko link.

jessi


(Jotczwarty) #3

Dzięki.

http://wklej.org/id/81d06e3553


(jessica) #4

No tak, jest gorzej niż myślałam: trzy Rootkity + VUNDO.

Większość usunął ComboFix.

Wklej do Notatnika :

File::

C:\WINDOWS\system32\ddcyy.dll 

C:\WINDOWS\system32\trusted.exe 

C:\xlryki.exe 

C:\pjxxrskl.exe 

C:\wsusupd.exe 

C:\bnld.exe 

C:\WINDOWS\system32\byxutrs.dll

C:\WINDOWS\system32\drivers\srosa.sys

C:\WINDOWS\system32\drivers\hidr.exe


Folder::

C:\WINDOWS\exefnd 


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3320321D-7730-4EF8-A735-D30AA711624B}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8B3F8A93-933C-4DDA-B24C-AEB0697C132A}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C24D5F51-51A8-4CB6-A199-A5A6CB20C915}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{8B3F8A93-933C-4DDA-B24C-AEB0697C132A}"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byxutrs]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcyy]

[-HKEY_LOCAL_MACHINE\system\ControlSet002\Services\srosa]

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie,

jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

(czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie.

Po restarcie usuń ręcznie folder C: **** Qoobox.

Rootkit Bagle-hidires uszkodził Tryb Awaryjny.

Potem daj nowy log z ComboFixa i napisz o sytuacji.

EDIT:

Ponieważ pisałeś, że masz także uszkodzone "Przywracanie Systemu", więc na wszelki wypadek daj także log z Sillent Runner.

Tam, w kluczach z grupy "Policies", będzie widać, czy rzeczywiście trzeba to zmienić.

Ja akurat na tym się nie znam :frowning: , ale myślę, że znajdzie się tu ktoś, kto będzie wiedział, co w tych kluczach rejestru zmienić, by "przywracanie systemu" odzyskało swoją zwykłą funkcjonalność. Jeśli dobrze pamiętam, to trzeba w kluczu zmienić wartość Dword = 000001 na wartość Dword =000000...

jessi


(Jotczwarty) #5

Tryb awaryjny naprawiłem drugim sposobem.

Komputer znacznie przyśpieszył.

Pierwszą rzeczą, jaką chciałem zrobić, była ponowna instalacja AntiVir Workstation - instalacja udana, reboot, po jakichś 10 sekundach od całkowitego załadowania systemu - bsod. I jeszcze raz, i jeszcze. W ciągu tych 10 sekund odpaliłem taskmgra i zatrzymałem procesy AV, później wywaliłem go z autostartu. Problem taki, że nadal nie mam antywirusa. ;\ Innych co prawda instalować jeszcze nie próbowałem.

Log z SilentRunners: http://wklej.org/id/80ad850a50

Log z ComboFixa dam za kilka minut.

Ponownie wielkie dzięki... Coś czuję, że niestety będę miał okazję do podziękowania jeszcze parę razy. :stuck_out_tongue:


(Gutek) #6

Jest na pewno jeszcze folder do usunięcia

, ale czekamy na log z Combo


(Jotczwarty) #7

http://wklej.org/id/099019022f


(Gutek) #8

Usuń C:\WINDOWS\Tasks\ {2D6FC728-C8D4-43B2-8CDB-842F91CC5712}_LAPT_ORTOP_Użytkownik.job

Pobierz program SDFix

-


(Jotczwarty) #9

http://wklej.org/id/629ae8f2f6


(jessica) #10

A jednak SDFix jeszcze znalazł i usunął "śmiecia"!

Sprawdź, czy naprawdę nie ma tego pliku w folderze "system32"?

Jeśli nie ma, to skopiuj zapasowy, który powinien być w C:\WINDOWS\system32\dllcache do folderu "system32".

W logu Sillenta nie było widać w kluczach, by "Przywracanie Systemu" było odłączone.

Jeśli jednak to dalej nie działa, to sprawdź ręcznie:

jessi


(Jotczwarty) #11

Nie ma chkdsk.exe w system32... Ale... Eee, no, jakby to tu...

Nie mam takiego folderu. :stuck_out_tongue:

Przywracanie systemu już działa, avast też. Innymi słowy - komputer sprawny. Jeszcze raz dziękuję. :slight_smile:


(jessica) #12

Jak to nie ma takiego folderu?

Musi być, a zwłaszcza musi być ten plik "chkdsk.exe".

"dllcache" może być ukryte.

Jeśli nie masz tego pliku, to musisz wgrać go z płytki instalacji systemu!

jessi


(Jotczwarty) #13

Eee, fakt że folder istnieje, musiałem wcześniej źle adres wpisać. chkdsk.exe nie widać.

A nie da się jakoś go podmienić? To jest laptop z pracy ojca, zanim ja bym się dorwał do płytki instalacyjnej miną tygodnie, o ile nie miesiące.


(jessica) #14

Ten plik powinien być jako zapasowy w "dllcache", więc go wystarczy skopiować do folderu "system32".

Jeśli nie ma w "dllcache", to pozostaje doinstalować z płytki.

jessi